你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure NetApp 文件双重静态加密

默认情况下,Azure NetApp 文件容量池使用单个静态加密。 创建容量池时,可以选择对容量池中的卷使用静态双重加密。 为此,可以选择 double 作为要创建的容量池的加密类型

关键数据通常见于金融机构、军事用户、业务客户数据、政府记录、医疗保健医疗记录等位置。 虽然单个静态加密对于某些数据来说可能足够,但对于违反保密性的数据,应使用静态双重加密。 泄露客户敏感数据、姓名、地址和政府标识等信息可能会导致极其高的责任,并且可以通过静态双重加密保护数据机密性来缓解此问题。

通过网络传输数据时,其他加密(例如传输层安全性 (TLS) 可以帮助保护数据的传输)。 但是,数据到达后,保护静态数据有助于解决漏洞。 使用 Azure NetApp 文件在静态时进行双重加密,是对 Azure 数据中心物理安全云存储固有安全性的补充。

Azure NetApp 文件静态双重加密提供两个级别的加密保护:基于硬件的加密层(加密 SSD 驱动器)和软件加密层。 基于硬件的加密层驻留在物理存储级别,使用 FIPS 140-2 认证的驱动器。 基于软件的加密层位于完成第二级加密保护的卷级别。

如果是首次使用此功能,则需要创建双加密容量池。 有关详细信息,请参阅为 Azure NetApp 文件创建容量池

在双加密容量池中创建卷时,默认密钥管理(加密密钥源字段)是 Microsoft Managed Key,另一个选项是 Customer Managed Key。 使用客户管理的密钥需要额外准备 Azure Key Vault 和其他详细信息。 有关对客户托管密钥使用卷加密的详细信息,请参阅为 Azure NetApp 文件卷加密配置客户管理的密钥

双加密容量池中的“创建卷”页的屏幕截图。

支持的区域

以下区域支持 Azure NetApp 文件静态双重加密:

  • 澳大利亚中部
  • 澳大利亚中部 2
  • 澳大利亚东部
  • 澳大利亚东南部
  • 巴西南部
  • 巴西东南部
  • 加拿大中部
  • 加拿大东部
  • 印度中部
  • 美国中部
  • 东亚
  • 美国东部
  • 美国东部 2
  • 法国中部
  • 德国中西部
  • 以色列中部
  • 日本东部
  • 韩国中部
  • 韩国南部
  • 美国中北部
  • 北欧
  • 挪威东部
  • 卡塔尔中部
  • 南非北部
  • 美国中南部
  • 东南亚
  • 西班牙中部
  • 瑞典中部
  • 瑞士北部
  • 瑞士西部
  • 阿拉伯联合酋长国北部
  • 英国南部
  • 英国西部
  • US Gov 亚利桑那州
  • US Gov 德克萨斯州
  • US Gov 弗吉尼亚州
  • 西欧
  • 美国西部
  • 美国西部 2
  • 美国西部 3

注意事项

  • Azure NetApp 文件静态双重加密支持标准网络功能,但不支持基本网络功能。
  • 有关使用 Azure NetApp 文件静态双重加密的成本,请参阅 Azure NetApp 文件定价页。
  • 不能将单加密容量池中的卷转换为使用静态双重加密。 但是,可以将单加密卷中的数据复制到使用双重加密配置的容量池中创建的卷。
  • 对于使用静态双重加密创建的容量池,容量池中的卷名称仅对卷所有者可见,以实现最大安全性。
  • 使用静态双重加密可能会对工作负荷类型和频率产生性能影响。 性能影响可能最小为 1-2%,具体取决于工作负荷配置文件。

后续步骤